终端连接虚拟专用网的方法、系统及相关设备技术方案
Method, system and related equipment for terminal connecting virtual private network
A terminal connected virtual private network (VPN) method, system and related equipment, to solve the current terminal configured VPN gateway IP address of the workload of large and easy to make mistakes. Methods: VPN control device receives the first handshake message routing gateway, SSL session negotiation process first launched the first handshake message to the gateway control equipment to the VPN in the receiving terminal for transmitting the second handshake at after sending, according to the first handshake message and terminal session parameters negotiated the first SSL session, and through the first SSL session authentication terminal; the terminal after authentication, determine the first VPN gateway allows terminal access to the IP address of the terminal; notice the first VPN gateway IP address.
【技术实现步骤摘要】
终端连接虚拟专用网的方法、系统及相关设备
本专利技术涉及通信
,尤其涉及一种终端连接虚拟专用网(英文:virtualprivatenetwork,VPN)的方法、系统及相关设备。
技术介绍
网际协议(英文:InternetProtocol,IP)摄像机(英文:IPcamera,IPC)终端分布广。为了防止IPC终端向网络传输的视频流被恶意监听,以及为了防止网络向IPC终端传输的控制信令在传输过程中被恶意篡改,将安全套接层(英文:SecureSocketsLayer,SSL)VPN技术应用到IPC终端,使得IPC终端与网络之间加密传输视频流和控制信令。SSLVPN技术,是指远程用户利用Web浏览器连接SSLVPN服务器。其中,远程用户与SSLVPN服务器之间,采用SSL协议或传输层安全(英文:TransportLayerSecurity,TLS)协议(SSL协议的后继者)对传输的数据包加密。以下将SSL协议和TLS协议都称为“SSL”或“SSL协议”。IPC终端中预先设置有安全连接客户端。IPC终端中预先配置VPN网关的IP地址。安全连接客户端发起认证。在认证...
【技术保护点】
一种终端连接虚拟专用网VPN的方法,其特征在于,包括:VPN控制设备接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;所述VPN控制设备根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;所述VPN控制设备在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;所述VPN控制设备通知所述终端所述第一VPN网关的IP地址。
【技术特征摘要】
1.一种终端连接虚拟专用网VPN的方法,其特征在于,包括:VPN控制设备接收路由网关发送的第一握手报文,所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送,所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程;所述VPN控制设备根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;所述VPN控制设备在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址;所述VPN控制设备通知所述终端所述第一VPN网关的IP地址。2.如权利要求1所述的方法,其特征在于,所述第一握手报文中携带所述路由网关的直连路由表项,所述直连路由表项中包括所述路由网关旁挂的VPN网关的子网前缀;所述VPN控制设备确定第一VPN网关的IP地址,包括:所述VPN控制设备获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:所述VPN控制设备将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关,由所述第一VPN网关保存所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。4.如权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:所述终端向所述第一VPN网关发送第三握手报文,所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程,所述第三握手报文中携带所述会话标识以及密文,所述密文为采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成。5.如权利要求1-4任一项所述的方法,其特征在于,所述VPN控制设备通过所述第一SSL会话认证所述终端,包括:所述VPN控制设备通过所述第一SSL会话接收所述终端发送的认证消息,所述认证消息中携带所述会话标识以及认证数据,所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得;所述VPN控制设备解析所述认证消息,获得所述认证消息中携带的会话标识以及所述认证数据,确定存储有所述会话标识后,采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识,将所述终端的标识发送给认证服务器;所述VPN控制设备若接收到所述认证服务器返回的认证成功消息,则确定所述终端接入合法,所述认证成功消息由所述认证服务器确定存在所述终端的标识后返回;否则,确定所述终端接入不合法。6.一种终端连接虚拟专用网VPN的系统,其特征在于,包括:终端,用于向路由网关发送第二握手报文,所述第二握手报文用于向VPN控制设备发起第一安全套接层SSL会话的协商过程;路由网关,用于接收所述终端发送的所述第二握手报文后向所述VPN控制设备发送第一握手报文;VPN控制设备,用于接收所述路由网关发送的所述第一握手报文,根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数,并通过所述第一SSL会话认证所述终端;以及在所述终端认证通过后,确定允许所述终端接入的第一VPN网关的IP地址,通知所述终端所述第一VPN网关的IP地址。7.如权利要求6所述的系统,其特征在于,所述路由网关具体用于:将直连路由表项携带在所述第二握手报文中得到所述第一握手报文,所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀;所述VPN控制设备具体用于:获取配置的所有VPN网关的IP地址列表中,属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址,将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。8.如权利要求6或7所述的系统,其特征在于,所述VPN控制设备还用于:将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关;所述第一VPN网关具体用于:保存所述终端的IP地址以及所述第一SSL会话的会话参数,所述会话参数包括会话密钥、会话标识以及加密算法。9.如权利要求6-8任一项所述的...
【专利技术属性】
技术研发人员:杨延城,陈向荣,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。